Ir para o conteúdo

Segurança física do Jitterbit Harmony

Introdução

A Jitterbit selecionou estrategicamente a AWS e a Azure como provedores de hospedagem em nuvem para sua plataforma Harmony. Essas plataformas de nuvem líderes do setor oferecem uma infraestrutura robusta que não apenas suporta as demandas de escalabilidade e disponibilidade do Harmony, mas também atende a uma parte significativa de seus rigorosos requisitos de segurança.

Ao aproveitar as capacidades da AWS e da Azure, a Jitterbit garante que o Harmony possa escalar dinamicamente seus recursos para acomodar cargas de trabalho variadas, garantindo acesso consistente e confiável aos seus serviços para os usuários. Além disso, esses ambientes de nuvem possuem recursos e protocolos de segurança integrados que se alinham com as necessidades de segurança do Harmony, proporcionando uma base sólida para proteger dados e transações sensíveis.

Conformidade da infraestrutura

O design, gerenciamento e auditorias de terceiros de nossa infraestrutura de TI estão alinhados com as melhores práticas de segurança e vários padrões de segurança de TI.

Veja Melhores Práticas da AWS para Segurança, Identidade e Conformidade e Segurança da Azure para uma descrição dos serviços de segurança essenciais.

As práticas do Harmony estão em conformidade com uma ampla gama de regulamentações e padrões específicos do setor, incluindo:

Segurança física e ambiental

Existem partes da plataforma Harmony que estão implantadas em data centers gerenciados pela AWS e em data centers gerenciados pela Azure. Aqui estão os documentos de segurança para ambos:

Gestão de continuidade de negócios

A plataforma Harmony utiliza infraestrutura em nuvem para fornecer alta disponibilidade. Seus provedores projetaram sistemas para minimizar o impacto de falhas de sistema ou hardware. A continuidade de negócios é uma responsabilidade compartilhada, portanto, incorporamos redundância extra em um serviço que já é redundante.

Alta disponibilidade e tolerância a falhas

Os data centers em nuvem são construídos em clusters em várias regiões globais. Em caso de falha, processos integrados redirecionam o tráfego de dados dos clientes para longe da área afetada, evitando que o tempo de inatividade afete seus dados. Aplicações principais são implantadas em uma configuração N+1, de modo que, se ocorrer uma falha em um data center, há capacidade suficiente para permitir que o tráfego seja balanceado para os sites restantes.

A maior parte da plataforma Harmony está implantada em três nuvens independentes e geograficamente distintas (cada uma com uma região primária e uma secundária): NA Leste e NA Oeste; EMEA Leste e EMEA Oeste; APAC Leste e APAC Oeste, com três data centers (zonas de disponibilidade) em cada região.

O mecanismo de execução EDI da Harmony está implantado em duas nuvens independentes: NA Leste e Europa Norte.

Cada zona de disponibilidade é projetada como uma zona de falha independente. Isso significa que as zonas de disponibilidade estão fisicamente separadas dentro de uma região metropolitana típica e estão localizadas em planícies de inundação de menor risco; a categorização específica de zonas de inundação varia por região. Além de UPS discretos e instalações de geração de backup no local, cada uma delas é alimentada por diferentes redes de utilidades independentes para reduzir ainda mais os pontos únicos de falha. As zonas de disponibilidade estão todas conectadas de forma redundante a vários provedores de trânsito de nível 1.

Isso proporciona altos níveis de resiliência para o Harmony, pois pode tolerar a maioria dos modos de falha, incluindo desastres naturais ou falhas de sistema sem interrupção.

O acesso aos data centers e informações é restrito a funcionários e contratados com uma necessidade legítima de negócios. Os privilégios são imediatamente revogados quando a necessidade de negócios de um funcionário não existe mais. Todo acesso físico aos data centers por funcionários é registrado e auditado regularmente.

Resposta a incidentes

As equipes de Operações e Suporte ao Cliente da Jitterbit trabalham para identificar quaisquer problemas que possam impactar os usuários do Harmony. Elas monitoram o uso da API do Harmony, bancos de dados, serviços, infraestrutura de mensagens e grupos de agentes em nuvem da Jitterbit. As equipes de Suporte e Operações da Jitterbit fornecem cobertura global para detectar quaisquer problemas críticos e gerenciar o impacto e a resolução desses incidentes.

A infraestrutura do Harmony é suportada pela equipe de Gerenciamento de Incidentes do respectivo provedor de hospedagem em nuvem, que emprega procedimentos de diagnóstico padrão da indústria para conduzir a resolução durante eventos que impactam os negócios. Operadores de equipe fornecem cobertura 24/7/365 para detectar incidentes e gerenciar o impacto e a resolução.

Comunicação

A Jitterbit implementa vários métodos de comunicação interna em nível global para coordenar toda a comunicação crítica entre as equipes de Operações, Suporte ao Cliente, Engenharia, QA e Serviços da Jitterbit. Essas equipes têm presença nas Américas, Ásia, Austrália, África e Europa. Nossos funcionários entendem seus papéis e responsabilidades individuais e sabem quando comunicar eventos significativos de maneira oportuna.

A Jitterbit realiza reuniões diárias padrão entre as várias equipes, que incluem gerentes de equipe e diretores da empresa, para destacar quaisquer problemas conhecidos e garantir que não haja gargalos dentro da organização que impeçam uma resolução rápida.

Segurança da rede

O Harmony reside dentro das redes do provedor de hospedagem em nuvem, que foi arquitetado para fornecer o nível de segurança e resiliência necessário para que o Harmony suporte altos níveis de confiança e serviço.

Harmony é geograficamente dispersa, com uma arquitetura tolerante a falhas suportada em todos os serviços principais. Harmony depende da infraestrutura de rede de classe mundial do provedor de nuvem, que é cuidadosamente monitorada e gerenciada. Isso inclui:

Arquitetura de rede segura

Dispositivos de rede, incluindo firewall e outros dispositivos de fronteira, estão em vigor para monitorar e controlar as comunicações na fronteira externa da rede e em fronteiras internas chave dentro da rede. Esses dispositivos de fronteira empregam conjuntos de regras, listas de controle de acesso (ACL) e configurações para impor o fluxo de informações para serviços específicos do sistema de informações.

Especificamente, eles fornecem os seguintes serviços para Jitterbit e Harmony:

  • Arquitetura segura
    Os componentes da infraestrutura do Harmony operam em redes privadas virtuais separadas. Cada pilha é uma rede isolada. A maioria dos serviços opera em uma sub-rede privada. Apenas os pontos finais TLS terminados no balanceador de carga são expostos à Internet. O pessoal de operações autorizado se conecta através da VPN a um host bastião, que restringe o acesso aos componentes da pilha e registra a atividade para revisão de segurança.

  • Firewalls
    Todos os hosts da pilha executam firewalls de entrada obrigatórios configurados no modo de negação total. As portas HTTP, HTTPS e SSH são abertas apenas quando necessário.

  • Proteção e mitigação contra Ataques de Negação de Serviço Distribuído (DDoS)

    • A abordagem baseada em Cluster Virtual Privado (VPC) do Harmony significa que nenhuma infraestrutura de backend é acessível diretamente da Internet. Assim, os componentes do Harmony não podem ser alvos diretos de um ataque DDoS. Controles de perímetro de hospedagem em nuvem estão em vigor (e testados) e são projetados para prevenir e detectar ataques DDoS. Equipes de resposta e processos de suporte estão em vigor.
    • Os pontos finais TLS do Harmony incluem um balanceador de carga, que suporta apenas solicitações TCP válidas, o que significa que ataques DDoS, como inundações UDP e SYN, não alcançam a camada de aplicação do Harmony.
    • Reconhecemos que nenhum conjunto de controles é perfeito. Caso a Jitterbit precise de capacidade extra para lidar com um potencial ataque DDoS, podemos escalar nossa pilha de tecnologia.
  • Escaneamento de portas
    Ferramentas e equipes monitoram e bloqueiam escaneamentos de portas não autorizados. Como a infraestrutura em nuvem da Harmony é privada e todos os hosts são protegidos por firewalls robustos, o escaneamento de portas é geralmente ineficaz.

  • Spoofing e sniffing
    Provedores de hospedagem em nuvem configuram suas redes e hosts para proibir o envio de tráfego com um endereço IP ou MAC de origem diferente do seu próprio. O hipervisor é configurado para desabilitar a entrega de qualquer tráfego para um host ao qual o tráfego não está endereçado. Isso significa que qualquer host tentando operar em modo promíscuo não conseguirá capturar tráfego destinado a outros hosts.

  • Ataques Man-in-the-Middle (MITM)
    Todas as APIs da plataforma Harmony estão disponíveis por meio de endpoints protegidos por TLS, que fornecem autenticação do servidor.

  • Detecção e prevenção de intrusões
    Provedores de hospedagem em nuvem oferecem serviços de segurança que fornecem controles limitados de IPS e IDS para todos os ambientes hospedados. A Jitterbit implementou sua própria ferramenta de IPS para prevenir e detectar atividades anômalas e maliciosas.

  • Escaneamento de vulnerabilidades de rede e host
    Provedores de hospedagem em nuvem escaneiam sua rede física voltada para a Internet e a Jitterbit escaneia regularmente os sistemas de rede privada da Harmony. Provedores de nuvem e Jitterbit são conjuntamente responsáveis pela segurança dos hosts. A Jitterbit é responsável por remediar descobertas adversas sem intervenção ou tempo de inatividade do cliente.

  • Teste de penetração
    A Jitterbit contrata anualmente uma empresa de segurança terceirizada para realizar um teste de penetração da infraestrutura da Harmony. Quaisquer descobertas do teste de penetração são remediadas imediatamente.

  • Hosts seguros da Harmony
    Provedores de nuvem fornecem à Jitterbit hardware seguro (servidores/hosts) e sistemas operacionais. A AWS utiliza o Center for Internet Security (CIS) Configuration Benchmark para os sistemas operacionais e versões.

Dureza do host

Para todos os sistemas operacionais:

  • Ferramentas de gerenciamento de configuração automatizadas instalam sistemas operacionais básicos a partir de imagens "ouro".
  • Logins de senha para hosts estão desativados. Chaves root SSH não são permitidas.
  • Nenhuma chave SSH de usuário não autorizada é permitida nos hosts por padrão. O acesso dos usuários da força de trabalho interna da Jitterbit é configurado apenas com base em cada usuário, e somente quando necessário para fornecer suporte a desenvolvedores ou clientes.
  • Portas SSH não padrão são utilizadas.
  • Atualizações de segurança do host são automatizadas.
  • Todas as portas do host são abertas apenas via lista de permissão.

Proteção de transmissão

A única comunicação externa possível com o Harmony é via HTTPS utilizando Transport Layer Security (TLS), um protocolo criptográfico projetado para proteger contra escuta, adulteração e falsificação de mensagens.

Monitoramento e proteção de rede

O Harmony aproveita a utilização de uma ampla variedade de sistemas de monitoramento automatizados do provedor de nuvem para fornecer um alto nível de desempenho e disponibilidade do serviço. As ferramentas de monitoramento são projetadas para detectar atividades e condições incomuns ou não autorizadas nos pontos de comunicação de entrada e saída. Essas ferramentas monitoram o uso de servidores e redes, atividades de varredura de portas, uso de aplicativos e tentativas de intrusão não autorizadas. As ferramentas têm a capacidade de definir limites personalizados de métricas de desempenho para atividades incomuns.

Os sistemas são amplamente instrumentados para monitorar métricas operacionais-chave. Alarmes notificam automaticamente o pessoal de operações e gestão quando os limites de alerta precoce são ultrapassados em métricas operacionais-chave. Um cronograma de plantão é utilizado para que o pessoal esteja sempre disponível para responder a problemas operacionais. Isso inclui um sistema de pager, para que os alarmes sejam rapidamente e de forma confiável comunicados ao pessoal de operações.

As equipes de Operações e Suporte da Jitterbit trabalham com a Engenharia para lidar com quaisquer incidentes ou problemas relacionados ao software ou infraestrutura desenvolvidos pela Jitterbit. Todos os problemas críticos são identificados e discutidos durante as chamadas diárias entre as equipes. Pós-mortens são documentados após qualquer problema operacional significativo, independentemente do impacto externo, e relatórios de análise de causa raiz (RCA) são elaborados para que a causa raiz seja capturada e ações corretivas e preventivas sejam implementadas.

A Jitterbit aproveita as ferramentas de monitoramento de segurança do provedor de nuvem para ajudar a identificar e resolver ataques DDoS, incluindo ataques distribuídos, de inundação e de software/lógica. Além disso, a Jitterbit emprega suas próprias ferramentas, sistema de monitoramento e detecção com a capacidade de redirecionar para outra região, se necessário.

Harmony obtém os benefícios da rede do provedor de nuvem, que oferece proteção significativa contra problemas tradicionais de segurança de rede, conforme descrito na seção Arquitetura de rede segura.

Princípios de design seguro

O processo de desenvolvimento do Harmony segue as melhores práticas de desenvolvimento de software seguro. Revisões formais de design, varreduras de código e varreduras de vulnerabilidade validam que o software Jitterbit é projetado e desenvolvido para evitar que mensagens de erro transmitam informações sensíveis e garantem que os serviços de software rejeitem acessos não autorizados e abusos.

Gerenciamento de mudanças

Mudanças rotineiras, de emergência e de configuração na infraestrutura existente do Harmony são autorizadas, registradas, testadas, aprovadas e documentadas de acordo com as normas da indústria para sistemas semelhantes. As atualizações na infraestrutura do Harmony são realizadas para minimizar qualquer impacto no cliente e no uso dos serviços. O site de status do Jitterbit fornece um painel de controle voltado para o público que lista quaisquer interrupções e períodos de degradação do desempenho do sistema, bem como manutenção programada e lançamentos de software.

Software

A Engenharia do Jitterbit aplica uma abordagem sistemática para gerenciar mudanças, de modo que as alterações nos serviços que impactam os clientes sejam revisadas, testadas, aprovadas e bem comunicadas. O processo de gerenciamento de mudanças é projetado para evitar interrupções indesejadas no serviço e manter a integridade do serviço para o cliente. As mudanças implantadas em ambientes de produção são:

  • Revisadas: Revisões por pares dos aspectos técnicos de uma mudança são necessárias.
  • Testadas: As mudanças aplicadas são testadas por uma equipe de QA separada para garantir que se comportem como esperado e não impactem negativamente o desempenho.
  • Aprovadas: Todas as mudanças devem ser autorizadas para serem implementadas pela Engenharia, QA e Suporte ao Cliente.

Quando possível, as mudanças são agendadas durante janelas de mudança regulares. Mudanças de emergência em sistemas de produção que exigem desvios dos procedimentos padrão de gerenciamento de mudanças estão associadas a um incidente e são registradas e aprovadas conforme apropriado.

Infraestrutura

O Harmony opera dentro de um Cluster Virtual Privado (VPC) e inclui os seguintes serviços em cada região:

  1. Elastic Load Balancer (ELB) que garante que as solicitações aos serviços e APIs do Harmony escalem e estejam altamente disponíveis, juntamente com o Cluster Apache Tomcat onde os serviços do Harmony são executados. O número de nós por cluster escala dinamicamente à medida que os volumes de solicitações aumentam e diminuem.
  2. Cluster de Servidores de Cache para gerenciar sessões de usuários. Este cluster é projetado com redundância embutida para garantir que a sessão de um usuário não seja afetada, alternando para outro nó quando necessário.
  3. Rede de Broker MQ que gerencia solicitações para agentes. Isso garante que haja uma rede redundante altamente disponível entre o Harmony e todos os agentes.
  4. Servidor de Banco de Dados Relacional com replicação assíncrona quase em tempo real entre regiões. Isso garante que todos os designs de projetos e dados de atividade estejam disponíveis entre regiões no caso de uma região inteira se tornar indisponível.

Elastic Compute Cloud e segurança de contêineres

O Harmony faz uso extensivo de instâncias de nuvem virtuais e contêineres, o que proporciona capacidade de computação redimensionável.

Múltiplos níveis de segurança

O Harmony aproveita a segurança dentro da imagem fornecida pelo firewall do sistema operacional da instância virtual. O acesso externo à API está disponível apenas nos servidores HTTPS do Harmony. Todos os outros serviços estão protegidos atrás do firewall.

O hipervisor

O Elastic Compute atualmente utiliza uma versão altamente personalizada do hipervisor Xen, aproveitando a paravirtualização (no caso de convidados Linux). Como os convidados paravirtualizados dependem do hipervisor para fornecer suporte a operações que normalmente requerem acesso privilegiado, o sistema operacional do convidado não tem acesso elevado à CPU. A CPU fornece quatro modos de privilégio separados: 0 a 3, chamados de anéis. O Anel 0 é o mais privilegiado e o 3 é o menos. O sistema operacional host é executado no Anel 0. No entanto, em vez de ser executado no Anel 0 como a maioria dos sistemas operacionais faz, o sistema operacional do convidado é executado em um Anel 1 de menor privilégio e os aplicativos no Anel 3 de menor privilégio. Essa virtualização explícita dos recursos físicos leva a uma clara separação entre o convidado e o hipervisor, resultando em uma separação de segurança adicional entre os dois.

Cada instância virtual do Harmony é controlada pela equipe de Operações da Jitterbit. Todas as instâncias do Harmony são reforçadas e utilizam SSHv3 baseado em certificado para acessar a instância virtual. Todos os pares de chaves são gerados pelas Operações da Jitterbit para garantir que sejam únicos e não compartilhados fora das Operações da Jitterbit.

Containers

A segurança de contêineres envolve a implementação de medidas para proteger aplicações conteinerizadas, sua infraestrutura subjacente e os dados que processam ao longo do ciclo de vida da aplicação. Isso começa com a proteção de imagens de contêiner usando fontes confiáveis, escaneando em busca de vulnerabilidades e aplicando a imutabilidade. Garantir que apenas imagens verificadas e seguras sejam utilizadas ajuda a mitigar o risco de introduzir software malicioso ou desatualizado no ambiente.

Durante o desenvolvimento, a Jitterbit incorpora práticas de codificação seguras e testes de segurança automatizados ajudam a identificar e mitigar vulnerabilidades precocemente. Os desenvolvedores utilizam ferramentas e processos como análise de código estático, escaneamento de dependências e verificações de configuração para garantir que as aplicações sejam seguras antes de chegarem à produção.

A estratégia de segurança em tempo de execução foca em limitar permissões de contêiner, impor isolamento de rede e monitorar comportamentos anômalos. Aderir ao princípio do menor privilégio e isolar contêineres usando namespaces ou políticas de rede reduz a superfície de ataque potencial. Ferramentas de monitoramento em tempo real e mecanismos de alerta são utilizados para identificar acessos não autorizados ou atividades suspeitas.

Plataformas de orquestração de contêineres são configuradas de forma segura, incluindo a restrição de acesso administrativo, o uso de namespaces para isolamento e a aplicação regular de patches no orquestrador e suas dependências.

Finalmente, nossa forte estratégia de segurança de contêineres inclui um robusto plano de resposta a incidentes, conformidade com padrões da indústria e atualizações contínuas para abordar vulnerabilidades e ameaças emergentes. Monitoramento contínuo, auditorias regulares e adesão às melhores práticas garantem que os ambientes conteinerizados permaneçam resilientes contra desafios de segurança em evolução.

Segurança de balanceamento de carga

O Elastic Load Balancing (ELB) é utilizado para gerenciar o tráfego em uma frota de instâncias na nuvem. O ELB possui todas as vantagens de um balanceador de carga local, além de vários benefícios de segurança:

  • Assume o trabalho de criptografia e descriptografia das instâncias individuais e gerencia isso centralmente no balanceador de carga.
  • Fornece um único ponto de contato e também serve como a primeira linha de defesa contra ataques à sua rede.
  • Suporta criptografia de tráfego de ponta a ponta usando TLS (Transport Layer Security, anteriormente SSL) nas redes que utilizam conexões HTTP Seguras (HTTPS). Quando o TLS é utilizado, o certificado do servidor TLS usado para encerrar conexões de clientes pode ser gerenciado centralmente no balanceador de carga, em vez de em cada instância individual.
  • Suporta a criação e gerenciamento de grupos de segurança associados ao seu Elastic Load Balancing para fornecer opções adicionais de rede e segurança.

Armazenamento de dados

O Harmony utiliza o armazenamento de objetos do provedor de nuvem para o armazenamento de dados de arquivos. Esses dados incluem esquemas de transformação, drivers de banco de dados, plugins e, em certos casos, arquivos temporários e de log.

O Harmony utiliza o cliente de criptografia do provedor de nuvem para criptografar dados antes de enviá-los para o armazenamento de objetos. Os serviços de armazenamento de objetos utilizam um dos algoritmos de cifra de bloco mais fortes disponíveis: o Padrão de Criptografia Avançada (AES-256) de 256 bits. Cada objeto protegido é criptografado com uma chave de criptografia única. Essa chave de objeto é então criptografada com uma chave mestra que é rotacionada regularmente. Os serviços de armazenamento de objetos fornecem segurança adicional armazenando os dados criptografados e as chaves de criptografia em hosts diferentes.

Durabilidade e confiabilidade dos dados

Os armazenamentos de objetos do provedor de nuvem são projetados para fornecer 99,999999999% de durabilidade e 99,99% de disponibilidade de objetos ao longo de um ano. Os objetos são armazenados de forma redundante em vários dispositivos em várias instalações em uma região. Para ajudar a fornecer durabilidade, as operações PUT e COPY armazenam os dados do cliente de forma síncrona em várias instalações antes de retornar SUCESSO. Uma vez armazenados, os armazenamentos de objetos ajudam a manter a durabilidade dos objetos detectando e reparando rapidamente qualquer redundância perdida. Esses serviços também verificam regularmente a integridade dos dados armazenados usando somas de verificação. Se a corrupção for detectada, ela é reparada usando dados redundantes. Além disso, os serviços de armazenamento de objetos calculam somas de verificação em todo o tráfego de rede para detectar a corrupção de pacotes de dados ao armazenar ou recuperar dados.